木卫四：智能网联汽车安全运营中心最佳实践（功能篇）

智能网联汽车安全运营中心最佳实践BestPracticesforSecurityOperationsCenter (功能篇)智能网联汽车面临着严峻的网络安全挑战，因为它们拥有巨大的攻击价值，并可能威胁到驾驶人的智能网联汽车面临着严峻的网络安全挑战，因为它们拥有巨大的攻击价值，并可能威胁到驾驶人的安全。不法分子从科幻电影中得到的灵感和不断增加的汽车攻击事件引发了用户和监管机构的担忧。然而，整个行业缺乏关于网络安全最佳实践的指导。解决以下问题对汽车产业来说都是重要且未知的：如何在车辆开发阶段更好地识别网络安全风险？如何在开发过程中减少风险？如何确保车辆系统长期安全，并能及时响应网络安全行业监管机构正在对汽车网络安全作出关注。近年来，有关汽车网络安全的法规不断出台，汽车企业的网络安全团队需要不断应对这些要求。面对有限的人力和复杂的风险管理内容，网络安全团队往往难以组建并进入繁重的工作。分散的安全管理流程、不同角色的人员、分布在各处的安全措施和技术，都给管理带来了巨大的困难。一方面，汽车行业需要在短短数年内组建成熟的安全团队、响应流程和技术措施；另一方面，汽车系统与传统IT系统、金融系统存在诸多差异，所面临的环境、接口类型和使用习惯都更加复杂。面对这些挑战，汽车网络安全工程师需要学习IT安全团队的管理经验，同时要了解汽车系统和IT系统的区别，并在车辆开发中不断实践。前言前言PART1概念差异价值功能建设误区关键策略1CallistoTechnology©2023Allrightsreserved.1基于丰富的专家经验及工程实践，木卫四科技将在基于丰富的专家经验及工程实践，木卫四科技将在接下来的篇幅中重点介绍汽车企业安全运营中心的实践指导。我们希望通过与业界和社区持续的互动和分享以共同提升汽车网络安全水平。前言前言前言的有效性是评价企业网络安全管理能力的关键指标。随着全球范围内汽车企业和组织不断拓展线上智能化业务，网络安全事件也在不断增加。许PART1多机构的IT管理人员通过安全运营中心，调配网概念概念差异价值功能建设误区关键策略统和智能汽车系统有一个共同点：在交付后，其网络安全管理工作并不会随着开发测试工作的结束而结束，相反，它刚刚开始——因为不断出现的漏洞、持续的攻击事件、突发的故障、应急响应和用户投诉等都需要持续关注和解决，因此重新调整产品开发生产策略也属于安全运营的重要任务。在此情况下，汽车安全运营中心(VehicleSecurityOperationsCenter)也将成为汽车风险管理团队的必备部分。2CallistoTechnology©2023Allrightsreserved.2为安全出行保驾护航概念建立一套洞察威胁的机制，又要保持对车辆网络安全的关注，对当前的汽车企业来说是一项困难的工作。这些工作包含许多并行又互相关联的任务，从业务业来说是一项困难的工作。这些工作包含许多并行又互相关联的任务，从业务连续性/可靠性管理到网络安全策略制定执行，再到全面人员能力培养提升。网络安全工作不可能一劳永逸，需要持续地关注系统及外部环境变化，一般的网络安全运营内容包含针对所有攻击的监测、分析、响应和恢复工作，而承载事件检测、分析和响应工作的组织或系统称作安全运营中心(SecurityOperationsCenter)。另一些情况下，SOC也可被用来强调网络安全团队职自20世纪90年代以来，SOC便一直在企业中被广泛使用，同时随着技术的发展及应用领域的扩展，各类组织都拥有某种形式的SOC。IT行业的实践无疑也给汽车网络安全管理带来了指导，VSOC(VehicleSecurityOperationsCenter)并非独立存在的概念，其主要功能与ITSOC之间存在众多可见的相泛的汽车维护策略等。车企的风险管理者在此时需要重新思考VSOC的实施及部署。从木卫四的全球实践来看，汽车安全运营中心的职责应包括：前言PART1概念差异价值功能建设误区关键策略•通过利用车辆及网联数据，持续监测、识别和分析已知和新型的安全威胁，跟踪和防御攻击•通过主动措施(持续分析威胁、漏洞管理、安全策略制定等)预防汽车网络安全事件的发生；•对已确认的汽车安全事件做出响应，并实施高效缓解措施，优化车辆的安全性能；•向企业或监管部门提供满足国家/区域法规要求的安全报告 (包含安全趋势、车辆状态、事件类型等)；•VSOC系统工程及实践：适应快速迭代和不断推出的新车型及车辆持续的OTA。3CallistoTechnology©2023Allrightsreserved.3为安全出行保驾护航VSOC差异目前来看，不少汽车企业当前也拥有ITSOC以确保IT资产的安全，然而遗憾的是，是，IT团队与汽车团队工作的脱节和业界传承的工作习惯导致当前的ITSOC远不能满足汽车网络安全工作的需要。VSOC与传统的IT安全运营中心存在诸多不同之处：•VSOC需要更全面的汽车行业知识：不仅需要了解网络安全行业的基础概念，熟悉安全运营以外，VSOC更需要对车辆本身的了解。当车辆核心资产和智能化服务面临威胁时，车辆网络安全工程师应当结合车联网系统、车辆状态进行分析、定位并作出有效响应；•VSOC需要防范多种攻击：面对复杂的供应链、不断变化的电子电气架构、创新的智能化服务、SOA架构的引入等，智能联网汽车的接口类型越来越丰富，VSOC需要应对攻击者可能采用的多种技术手段和攻击路径；•VSOC需要管理大量的车辆资产：合格的VSOC应当具备管理数百万辆车联网资产的能力，对海量车联网资产进行持续实时分析和管理，对技术架构挑战巨大；•VSOC需要保证系统可靠性/功能安全的影响：与IT系统不同的是，车辆系统的业务连续性及可靠性要求更高，如部署的安全Agent/Sensor复杂性过高，会影响到业务连续性或车辆可靠性，甚至对企业声誉造成较大影响；•VSOC需要提高可见性和上下文：当异常事件发生时，通常情况下需要确认车辆上下文状态信息以分类事件并对攻击行为追踪和溯源，否则大量的误报会大大提升车辆网络安全工程师的工作负担；前言PART1概念差异价值功能建设误区关键策略CallistoTechnology©2023Allrightsreserved.4为安全出行保驾护航VSOC差异•VSOC•VSOC需要调度更多的职能部门：汽车生产制造设计到的分工部门众多，汽车行业供应链较长，一系列任务及工单可能会涉及多部门人员及角色；•VSOC需要更有针对性的威胁情报：聚焦于汽车行业的威胁情报一方面可以提供更有针对性的车辆攻击手段、不良影响及缓解措施等信息，另一方面使VSOC能够牢牢掌握与攻击相关的漏洞，并先发制人地减轻破坏性攻击；•VSOC需要灵活可扩展：为了应对技术架构的演进，新功能的快速上线，日益严格的监管要求，VSOC在技术架构上都应当具备充分的弹性，以确保在未来数年的时间内快速迁移、拓展和开发；•VSOC需要更智能：海量汽车的异常警报、不同类型的剧本流程、VSOC在部署时应充分考虑对大数据及人工智能的应用以降低车辆网络安全人员的工作压力，确保VSOC的先进性；VSOC需要更加专业的技术人员和特定的安全工具，以满足汽车行业的特殊需求，例如对车联网协议、汽车电子系统和车载通信网络的了解。此外，VSOC还需要支持汽车行业的严格法规和标准，以确保汽车网络的安全性和可靠性。前言PART1概念差异价值功能建设误区关键策略CallistoTechnology©2023Allrightsreserved.5为安全出行保驾护航VSOC价值合规价值：当前情况下，一个完善的VSOC能够满足联合国世界车辆法规协调合规价值：当前情况下，一个完善的VSOC能够满足联合国世界车辆法规协调论坛(WP.29)R155法规的要求。中国也将出台相关的强制标准和法规。前言PART1概念差异价值功能建设误区关键策略VSOC可以满足中国法规的入标准、CSMS和VTA认证的要求，包括持续监控、新型攻击检测、缓解措施和合规报告等。管理价值：通过使用VSOC，车企的风险管理者可以全局审查、评价和管理网络安全工作，联合整理工作流程、团队及工具。通过不断优化的监测和响应流络安全能力，帮助团队全面管理安全，避免出现合规问题、安全工作不可见等技术价值：通过使用VSOC，车企网络安全工程师可以减轻工作压力，并提高KPI。VSOC通过持续监测、分析和响应，形成网络安全事件管理闭环，全面掌握车辆安全状态。VSOC可以使车辆网络安全工程师主动管理攻击和威胁，支持安全工程师实现工作目标。上述工作也可通过虚拟团队或线下流程实现，但面对日益增加的车辆资产和智能化服务，人力工作的繁琐可能对安全管理造成负面影响。我们相信，随着车辆网络安全工作的提升，VSOC团队和工具将成为车企的必备选择。6CallistoTechnology©2023Allrightsreserved.6为安全出行保驾护航VSOC关键功能VSOC需要通过一系列的功能满足对智能网联汽车核心资产和智能化服务的监测和防御要求。尽管部分标准只关注车辆或者某个ECU本身的安全，但是从各为安全出行保驾护航VSOC关键功能VSOC需要通过一系列的功能满足对智能网联汽车核心资产和智能化服务的监测和防御要求。尽管部分标准只关注车辆或者某个ECU本身的安全，但是从各类攻击报告和事件的统计来看，我们倾向于将汽车智能化服务及核心资产纳入到考量范畴，因为攻击者通常不会遵循某一特定向量对汽车发起攻击。尽管当前少有企业能建设满足以下全部功能的VSOC，我们仍建议企业在实际建设过程中从自身规模、团队成熟度等因素出发，做出更为谨慎的选择：差异价值功能建设误区关键策略前言PART1概念安全事件分类、分析及响应实时告警及分类安全事件分析及调研对车辆停泊及行驶状态中产生的异常告警进行潜在安全事件分类和快速分析。对汽车核心资产进行组件级安全分析，同时关联智能化服务的数据流信息。充分描述并确定安全事件的细节(背景、影响范围及程度)。联动安全机制，对车辆发生的安全攻击及时遏制，可对攻击活动进行快速隔离、阻断，以减少影响、控制损失并防止扩散。通过集成协作工具对安全事件收集、分发和通知，指挥、协调和报告车企的不同人员、部门、供应链及主管单位。检查被攻击车辆的零部件、车况、数字钥匙、车辆后门、应用系统、安全日志等，归纳总结攻击行为的时间线、动作及结论。充分考虑在移动办公、异地协作等情况下的远程响应需要。考虑到开发部门、安全团队、供应商及用户车辆往往分布于全球各地，需要及时远程响应各种情况下的汽车安全事缓解措施安全协作取证分析安全事件远程响应安全事件报告接收无缝接收和处理来自IT系统、车辆系统、安全团队、SRC以及第三方的潜在的安全事件报告。7CallistoTechnology©2023Allrightsreserved.7为安全出行保驾护航VSOC关键功能威胁的高级分析采集尽可能丰富、有针对性的汽车行业相关网络威胁情报服务/信息，处理威胁情报信息并将其整合入VSOC之中，解为安全出行保驾护航VSOC关键功能威胁的高级分析采集尽可能丰富、有针对性的汽车行业相关网络威胁情报服务/信息，处理威胁情报信息并将其整合入VSOC之中，解析并过滤相关信息以供VSOC及团队进一步使用。对汽车领域攻击者画像，跟踪攻击趋势以支持非法改装、欺诈、恶意破解及非法控车等情形下的风险决策，做到知彼。导出威胁报告，描述攻击者类型、战术和活动及对供应链和车企的影响。与VSOC以外的各方(监管机构、供应链、开发测试团队、合作伙伴等)共享威胁情报和事件报告。在网联汽车的真实环境中，利用蜜罐及数字孪生技术，对新型攻击提前发现及分析，以提升和完善VSOC对新型攻击的识别。面对不同车型核心资产和智能化服务，依据各类攻击场景及威胁报告建模。在充分了解车辆系统的风险之后，更精确地配置、使用和自定义检测规则及引擎。通过先进技术处理和分析车辆异常行为，进一步分析从而发现新型威胁攻击。汽车威胁情报构建前言威胁报告分析提交威胁情报信息共享威胁诱捕威胁检测定制化大数据和人工智能CallistoTechnology©2023Allrightsreserved.8PART1概念差异价值功能建设误区关键策略为安全出行保驾护航VSOC关键功能漏洞管理车辆资产漏洞管理车辆资产盘点在TARA分析过程中盘点资产信息及关联关系，同时扩展至OTA、TSP、移动服务等平台，量化漏洞影响程度及潜在风险。漏洞扫描及评估持续扫描所有车辆资产的漏洞状态，包括零部件BOMs、车辆相关应用、云服务等，计算安全风险和合规状态，并评估当前防护手段的有效性。漏洞库更新和分析接收车企内部渗透测试团队、外部白帽子、研究机构等各方的漏洞报告，以了解漏洞并与风险管理部门、供应链等角色分享漏洞信息，以便各方采取缓解措施。漏洞修补和缓解及时发现并通知车辆开发部门及供应商修补漏洞，或通过多种缓解措施最大程度隐藏漏洞以减少暴露和利用的风险。态势感知及合规管理车辆态势感知全面感知、分析网络安全威胁及便于管理者探查现状的“汽车安全态势感知平台”合规管理针对不同国家和区域的汽车网络安全相关法规，配置和生成符合相对应法规要求的报告。前言PART1概念差异价值功能建设误区关键策略CallistoTechnology©2023Allrightsreserved.9为安全出行保驾护航VSOC建设误区在过去的一段时间内，我们也看到一些积极的厂商在尝试部署VSOC为安全出行保驾护航VSOC建设误区在过去的一段时间内，我们也看到一些积极的厂商在尝试部署VSOC以提升汽车网络安全水平，然而根据大量调研及一线工程人员的反馈，我们也看到在VSOC建设过程中因为概念不清晰、专家知识欠缺、工程规划缺陷以及开发部署能力较弱等因素导致成本及资源的浪费，甚至可能埋下新的安全隐患并给管理带来更多问题从而导致VSOC项目的失败。这些问题广泛存在于不同类型车企/供应链企业。因此我们总结了几大常见误区，供行业管理者及工程人员参：价值功能建设误区关键策略前言PART1概念差异•VSOC选型失策：将IDS、EDR等信息汇总工具定义为VSOC，而针对汽车核心资产及智能化服务的威胁检测能力缺失，导致VSOC形同虚设。另外缺乏拓展性及弹性架构设计的VSOC也使得车企无法应对迅速变化的车辆安全运营需要。•过于强调Dashboard而忽略了VSOC功能：调度中心的大屏幕并不能从根本上帮助安全团队真正做到安全运营。在UI及呈现方面过多的关注会分散VSOC建设的注意力，我们建议更多关注VSOC功能实现而非呈现；•分析功能不专注于汽车：威胁分析能力是决定VSOC成功的关键，对汽车的SOC来讲，车辆攻击事件的分析需要有丰富经验和持会产生大量的误报和漏报，极大程度打击车辆安全运营团队的信心；•情报/数据源不够丰富：单一的数据来源无法为车辆安全事件分析提供上下文支撑，车辆安全团队无法做到全面快速响应和预•跨部门之间缺乏协作：缺乏组织架构保障的情况下，无法真正保障威胁分析的准确性、安全事件的及时响应能力，甚至有可能造成安全运营工作的停摆。CallistoTechnology©2023Allrightsreserved为安全出行保驾护航VSOC建设关键策略除了需要时刻避免因规划不当、工程能力不足、保障不够等问题导致的VSOC项目失败之外，我们也给为安全出行保驾护航VSOC建设关键策略除了需要时刻避免因规划不当、工程能力不足、保障不够等问题导致的VSOC项目失败之外，我们也给VSOC的管理和建设者们提供以下建议，以确保不同规模的VSOC有效运转。概念差异价值功能建设误区关键策略前言PART1•充分了解车联网系统及行业：了解汽车及网络安全行业变化；合规范围及工作内容；车辆资产及供应商；用户行为及智能服务；及时关注威胁报告；深入理解关键系统和数据类型，并不断跟踪汽车行业技术变化；•充分赋予VSOC完成工作的权利：调整组织架构，充分授权给VSOC团队，确保其所需的职责、工作范围、合作关系和责任；•构建符合企业特点的VSOC：通过服务对象确认VSOC的架构，电动汽车、车队、OEM及供应链等不同类型不同规模的企业所需VSOC存在较大区别，建议优先考虑选择最高效的VSOC架构；•雇佣并培养